Digitale soevereiniteit als doctrine.

Deel I: Strategisch imperatief en samenvatting

1. Van technische keuze naar strategische doctrine

De digitale transformatie van de Nederlandse overheid bevindt zich op een strategisch keerpunt. Een convergentie van exponentiële technologische vooruitgang (met name Generatieve AI), een ongekende golf van dwingende EU-regelgeving, en een verscherpt geopolitiek klimaat dwingt tot een fundamentele herijking van de digitale grondslag van de staat. Dit rapport presenteert een beslisrijpe, diepgaande blauwdruk voor een “Sovereign-by-Design” digitale infrastructuur, specifiek ontwikkeld als een strategische doctrine voor de Nederlandse publieke sector.

Kernbevindingen: Dit onderzoek concludeert dat digitale soevereiniteit geen optionele technische configuratie is, maar een noodzakelijke voorwaarde voor het handhaven van de rechtsstaat, het waarborgen van de continuïteit van publieke diensten en het beschermen van de grondrechten van burgers. De analyse legt een significante en onhoudbare kloof bloot tussen de huidige operationele realiteit zoals vernietigend vastgesteld door de Algemene Rekenkamer in het rapport ‘Donkere wolken pakken samen’, waaruit blijkt dat voor 67% van de cruciale clouddiensten geen formele risicoafweging is gemaakt 1 en de strategische beleidsdoelstellingen van de overheid, zoals verwoord in de Nederlandse Digitaliseringsstrategie en diverse Kamerbrieven.6 De “ondoordachte” adoptie van cloudtechnologie vormt een onaanvaardbaar strategisch risico.1

Vereiste beslissingen: Dit rapport legt concrete, strategische besluiten voor aan het bestuur. De kernaanbeveling is de formele adoptie van de hierin gedetailleerde ‘Sovereignty Placement Policy’ als een bindende doctrine voor databeheer. Daarnaast wordt het bestuur verzocht de ‘Sovereign Hybrid’ referentiearchitectuur aan te wijzen als de verplichte, geauditeerde standaard voor alle data en workloads geclassificeerd als Gevoelig (S-2) en Staatskritisch (S-3). Tot slot wordt een mandaat gevraagd voor de verplichte toepassing van de in dit rapport opgenomen bibliotheek van contractuele waarborgen in alle toekomstige ICT-inkoopprocessen, om juridische afdwingbaarheid te maximaliseren.

2. De soevereine doctrine, het oplossen van het digitale trilemma

De Nederlandse overheid staat voor een strategisch trilemma: zij moet tegelijkertijd (1) de innovatiekracht van de wereldwijde technologiemarkt benutten, (2) absolute en aantoonbare compliance garanderen met een complex en groeiend web van EU- en NL-wetgeving, en (3) zich verdedigen tegen geopolitieke risico’s, waaronder extraterritoriale wetgeving (zoals de Amerikaanse CLOUD Act en FISA 702 ), buitenlandse surveillance en strategische afhankelijkheden.

Een “Sovereign-by-Design” aanpak, verheven tot een doctrine, is de enige levensvatbare strategie om dit trilemma op te lossen. Dit vereist een paradigmaverschuiving: van een reactieve, op compliance gerichte houding naar een proactieve, architecturale benadering waarbij soevereiniteit het fundamentele ontwerpprincipe is. Dit markeert het definitieve einde van het “Cloud First”-beleid en de opkomst van “Sovereignty First”. Het Rijksbrede Cloudbeleid uit 2022 was een eerste stap 8, maar de kritiek van de Rekenkamer 1 en de geopolitieke realiteit 6 dwingen tot een radicalere koers. De beleidslijn kan niet langer technologie-gedreven zijn (“we gaan naar de cloud, tenzij…”). Deze moet waarde-gedreven zijn (“we beschermen publieke waarden, en kiezen de technologie die dit garandeert”). De classificatie van data dicteert het hostingmodel, niet andersom.

3. De economische rationale, meer dan risicobeperking

Het omarmen van een soevereine doctrine is niet alleen een defensieve maatregel; het is een strategische investering in de Nederlandse en Europese economie. De huidige dominantie van een klein aantal niet-Europese hyperscalers (die 70-80% van de Europese markt in handen hebben) creëert een strategische afhankelijkheid en zorgt voor een aanzienlijke uitstroom van kapitaal.22 Door bewust te kiezen voor soevereine oplossingen, gehost in overheidsdatacenters of bij gekwalificeerde Nederlandse/Europese aanbieders, wordt een vliegwiel in gang gezet:

• Stimulering van het lokale ecosysteem: Overheidsopdrachten fungeren als een katalysator voor de Nederlandse cloud- en datacentersector, wat leidt tot economische groei, innovatie en werkgelegenheid.24

• Opbouw van strategische kennis: Het beheren van een eigen soevereine infrastructuur dwingt tot de opbouw van hoogwaardige technische kennis binnen de overheid en bij lokale partners, wat het “digitaal vakmanschap” versterkt.20

• Versterking van de Europese digitale markt: Door als overheid de vraag naar soevereine diensten te creëren, wordt de ontwikkeling van een concurrerend Europees alternatief, zoals beoogd door initiatieven als GAIA-X, gestimuleerd.

Deze aanpak transformeert een compliance-verplichting in een economische kans, in lijn met de ambitie van de Nederlandse Digitaliseringsstrategie om de digitale onafhankelijkheid te vergroten.7

Deel II: Het regelgevend en beleidsmatig landschap

4. De convergentie van verplichtingen, een geïntegreerde analyse

De komende 36 maanden wordt de digitale omgeving van de overheid geconfronteerd met een ongekende convergentie van nieuwe, verstrekkende Europese regelgeving. Deze wetten vormen geen losstaande eilanden, maar een onderling verbonden ecosysteem dat gezamenlijk de spelregels voor de digitale economie en overheid in de EU herschrijft.

De AI Act, GDPR en Data Act

De kern van de nieuwe uitdaging ligt in de complexe wisselwerking tussen de AI Act, de GDPR en de Data Act. Waar de GDPR de persoonsgegevens beschermt , richt de AI Act zich op de risico’s van het AI-systeem zelf 36, en de Data Act op de toegang tot en het gebruik van de gegenereerde data.42 Voor de publieke sector, die vaak met allen te maken heeft, ontstaan hier synergieën en fricties:

• Bias mitigatie vs. Speciale categorieën data: De AI Act (Art. 10(5)) staat expliciet de verwerking van speciale categorieën persoonsgegevens toe, mits dit “strikt noodzakelijk” is voor het monitoren en corrigeren van bias in hoog-risico AI-systemen. Dit staat op gespannen voet met het principiële verbod op de verwerking van dergelijke data in Artikel 9 van de GDPR. Een publieke organisatie moet dus een zeer zorgvuldige, gedocumenteerde afweging maken en aantonen dat er geen minder ingrijpende alternatieven zijn om bias te bestrijden.

• DPIA vs. FRIA: De GDPR (Art. 35) vereist een Data Protection Impact Assessment (DPIA) voor verwerkingen met een hoog risico. De AI Act (Art. 27) introduceert voor deployers van hoog-risico systemen een vergelijkbare verplichting: de Fundamental Rights Impact Assessment (FRIA).46 De AI Act stelt dat als een DPIA al is uitgevoerd, de FRIA deze kan aanvullen.46 In de praktijk betekent dit dat publieke organisaties een geïntegreerd assessment proces moeten ontwikkelen dat beide dekt.

• Transparantie: Zowel de GDPR (Art. 13-15) als de AI Act (Art. 50) stellen strenge transparantie-eisen.46 Dit vereist een gelaagde communicatiestrategie die zowel juridisch volledig als voor de burger begrijpelijk is.

Kernwetgeving

• EU AI Act (Regulation (EU) 2024/1689): In werking getreden op 1 augustus 2024.36 De gefaseerde implementatie 37 vereist onmiddellijke aandacht:

• Vanaf 2 februari 2025: Verbod op onaanvaardbare AI.

• Vanaf 2 augustus 2025: Regels voor General-Purpose AI (GPAI) modellen.

• Vanaf 2 augustus 2027: Volledige verplichtingen voor hoog-risico systemen. Publieke autoriteiten hebben tot 2 augustus 2030 om compliant te zijn.37De kernvereiste is een continu, iteratief risicomanagementsysteem (Art. 9).38

• GDPR / UAVG & Internationale Transfers: De AVG blijft de hoeksteen. De kernuitdaging is de doorgifte van data naar de VS. Het EU-US Data Privacy Framework biedt onvoldoende bescherming tegen FISA 702, recentelijk ongewijzigd verlengd in april 2024. Dit betekent dat voor elke doorgifte robuuste technische ‘supplementary measures’ (aanbevolen door de EDPB) vereist zijn, zoals end-to-end encryptie met sleutels die buiten de controle van de Amerikaanse provider worden gehouden (HYOK).48

• NIS2 Directive & BIO: De Nederlandse implementatie (Cyberbeveiligingswet) is vertraagd tot Q2 2026.28 De huidige Baseline Informatiebeveiliging Overheid (BIO) 55, gebaseerd op de verplichte ISO 27001/27002 standaarden 55, moet worden geïmplementeerd met het oog op de strengere eisen van NIS2. De BIO 2.0 zal aansluiten bij de nieuwe ISO/IEC 27002:2022 norm.60

DORA, CRA, Data Act, DGA:

• DORA: Van toepassing vanaf 17 januari 2025 , zet de standaard voor digitale weerbaarheid.

• Cyber Resilience Act (CRA): Volledig van toepassing op 11 december 2027 62, versterkt de veiligheid van de toeleveringsketen.

• Data Act: Grotendeels van toepassing vanaf 12 september 2025 , is een cruciaal instrument tegen vendor lock-in. Hoofdstuk VII biedt een directe juridische basis om waarborgen tegen onrechtmatige toegang door overheden van derde landen te eisen.43

• Data Governance Act (DGA): Van toepassing sinds september 2023 66, legt de basis voor betrouwbare data-ecosystemen.

• eIDAS 2.0 & Wdo: De herziene eIDAS-verordening introduceert de European Digital Identity (EUDI) Wallet, die lidstaten uiterlijk in 2026 moeten aanbieden. De Wet digitale overheid (Wdo), van kracht sinds 1 juli 2023 70, sluit hierop aan.

Tabel: Gedetailleerde Tijdlijn van Regelgevende Verplichtingen (2024-2030)

Jaar/Kwartaal	EU AI Act (Reg. 2024/1689)	NIS2 (NL Implementatie)	DORA (Reg. 2022/2554)	CRA (Reg. 2024/2847)	Data Act (Reg. 2023/2854)	eIDAS 2.0 (Reg. 2024/1183)	Nieuwe Archiefwet (NL)
2025 Q1	Verbod onaanvaardbare praktijken (2 feb) ^37		Toepassing start (17 jan)
2025 Q3	GPAI-regels van toepassing (2 aug) ^37				Toepassing start (12 sep)
2026 Q2		Verwachte inwerkingtreding Cbw ^28					Verwachte inwerkingtreding ^1
2026 Q4				Rapportageplicht vulnerabilities (11 sep) ^62		Deadline aanbieden EUDI Wallet
2027 Q3	Hoog-risico regels van toepassing (2 aug) ^37
2027 Q4				Volledige toepassing (11 dec) ^62
2030 Q3	Deadline compliance publieke sector hoog-risico (2 aug) ^37

Jaar/KwartaalEU AI Act (Reg. 2024/1689)NIS2 (NL Implementatie)DORA (Reg. 2022/2554)CRA (Reg. 2024/2847)Data Act (Reg. 2023/2854)eIDAS 2.0 (Reg. 2024/1183)Nieuwe Archiefwet (NL)2025 Q1Verbod onaanvaardbare praktijken (2 feb) 37Toepassing start (17 jan)2025 Q3GPAI-regels van toepassing (2 aug) 37Toepassing start (12 sep)2026 Q2Verwachte inwerkingtreding Cbw 28Verwachte inwerkingtreding 12026 Q4Rapportageplicht vulnerabilities (11 sep) 62Deadline aanbieden EUDI Wallet2027 Q3Hoog-risico regels van toepassing (2 aug) 372027 Q4Volledige toepassing (11 dec) 622030 Q3Deadline compliance publieke sector hoog-risico (2 aug) 37

5. De Nederlandse context van beleid naar implementatie

• Nederlandse Digitalisering Strategie (NDS): De NDS vormt de overkoepelende visie.7 Deze blauwdruk geeft een directe, technische en juridische invulling aan de kernprioriteiten van de NDS: digitale weerbaarheid, AI-kansen benutten en digitale soevereiniteit.7

• Woo & archiefwet: De Wet open overheid (Woo) en de nieuwe Archiefwet 1 dwingen tot “Archiving-by-Design”. De verkorting van de overbreng termijn naar 10 jaar is een radicale verandering die proactief informatiebeheer vanaf de creatie vereist.1

• NORA & Forum standaardisatie: De Nederlandse Overheid Referentie Architectuur (NORA) 55 biedt de conceptuele kaders. Het ‘Pas toe of leg uit’-principe van het Forum Standaardisatie 6 is het belangrijkste instrument om vendor lock-in te bestrijden.

Deel III: Tactische governance en operationele processen

6. De sovereignty placement policy, een aangescherpte classificatie

Om de doctrine van “Sovereignty-by-Design” operationeel te maken, wordt de keuze voor een on-premise, door de overheid beheerde omgeving de standaard voor alle data behalve openbare data.

• Tier S-0 (Publiek/Open): Data bedoeld voor onbeperkte publieke toegang.

• Hostingmodel: Geen restricties. Kan gehost worden op wereldwijde public clouds.

• Tier S-1 (Standaard/Intern): Standaard overheidsdata, inclusief reguliere persoonsgegevens.

• Hostingmodel: Verplicht in een Overheidsdatacenter (ODC) 60 of een door de Rijksoverheid aangewezen, volledig soevereine private cloud-omgeving.

• Vereiste Controles: Robuuste logische scheiding, standaard encryptie.

• Tier S-2 (Gevoelig/Gevoelig): Data met hoge gevoeligheid (bijzondere persoonsgegevens, BBN-2).

• Hostingmodel: Verplicht in een ODC of soevereine private cloud.

• Vereiste Controles: Alle controles van S-1, plus Hold-Your-Own-Key (HYOK), Confidential Computing, en een strikte EU/NL-support boundary.

• Tier S-3 (Staatskritisch/Staatsgeheim): Data van de hoogste kritikaliteit (nationale veiligheid, BBN-3).

• Hostingmodel: Uitsluitend in een fysiek en logisch gescheiden (‘air-gapped’ of ‘enclave’) omgeving binnen een ODC.

• Vereiste Controles: Alle controles van S-2, plus fysieke toegangsrestricties en netwerkisolatie.

7. Operationele governance, de Sovereignty Governance Board (SGB)

De implementatie wordt aangestuurd door een centrale Sovereignty Governance Board (SGB).

• Mandaat: De SGB is verantwoordelijk voor het vaststellen en handhaven van de Sovereignty Placement Policy, het goedkeuren van architectuur patronen, en het auditen van de implementatie.

• Samenstelling: Vertegenwoordigers van CIO Rijk, CISO Rijk, CDO Rijk, Juridische Zaken, Nationaal Archief, en de AIVD/MIVD.

• Proces: Elk nieuw project of systeem moet een ‘Sovereignty & Compliance Assessment’ doorlopen en voorleggen aan de SGB. De SGB classificeert de data en wijst het verplichte hostingmodel en de control set toe.88

8. Het data classificatie playbook, van theorie naar praktijk

De classificatie van data is een continu proces, geen eenmalige actie.

Rollen en Verantwoordelijkheden:

• Data Eigenaar (Bestuurlijk): Een directeur of manager die eindverantwoordelijk is voor een dataset. Keurt de formele classificatie goed.

• Data Steward (Operationeel): Een materiedeskundige die de data inhoudelijk kent. Voert de initiële classificatie uit en beheert de metadata.

• CISO & Juridische Zaken: Adviseren de Data Eigenaar en Steward over risico’s en juridische implicaties.88

Het Classificatieproces (Stappenplan):

• Inventarisatie: Identificeer alle datastores en applicaties.

• Initiële Classificatie: De Data Steward vult per dataset een standaard vragenlijst in.37

• Risicoanalyse: De CISO en JZ analyseren de antwoorden en adviseren over het benodigde beschermingsniveau.

• Formele Vaststelling: De Data Eigenaar stelt de classificatie (S-0 t/m S-3) formeel vast.

• Registratie: De classificatie wordt vastgelegd in een centraal Data Asset Register.

• Periodieke Herziening: De classificatie wordt minimaal jaarlijks herzien.

Deel IV: Referentiearchitecturen en operationele implementatie

9. Architectuur 1: Het soevereine hybride model

Dit is de verplichte architectuur voor alle workloads die data van Tier S-1, S-2 en S-3 verwerken.

• On-Premise Overheidsdatacenters (ODC’s): De basis wordt gevormd door de bestaande ODC’s, zoals ODC-Noord en SSC-ICT.60 Deze bieden al IaaS (op OpenStack) en PaaS (op OpenShift) diensten die als fundament kunnen dienen.108

• Operationele Handleiding: Hold-Your-Own-Key (HYOK) Implementatie (Tier S-2/S-3):

• Hardware Aanschaf & Plaatsing: Schaf FIPS 140-2 Level 3 gecertificeerde Hardware Security Modules (HSM’s) aan (bv. Thales, Entrust ) en plaats deze in een fysiek beveiligde ruimte binnen een ODC.

• Configuratie: Configureer de HSM’s in een high-availability cluster.

• Integratie met Cloud Service: Koppel de on-premise HSM’s met de te gebruiken (private) cloud service via een beveiligde API-verbinding.

• Sleutelgeneratie: Genereer de Master Key (MK) binnen de HSM. Deze sleutel verlaat de HSM nooit.

• Applicatie-integratie (Envelope Encryption): De applicatie roept de cloud-API aan om data te versleutelen. De cloud service genereert een Data Encryption Key (DEK), versleutelt de data, en stuurt vervolgens een verzoek naar de on-premise HSM om de DEK te versleutelen met de MK. De versleutelde DEK (EDEK) wordt samen met de versleutelde data opgeslagen.55

Operationele Risico’s: Confidential Computing (Tier S-2/S-3):

• Attestatie is Cruciaal: Voordat een workload in een Trusted Execution Environment (TEE) wordt gestart, moet een remote attestation proces worden uitgevoerd om cryptografisch te verifiëren dat de TEE authentiek is en de juiste code draait.124

• Side-Channel Risico’s: TEE’s zijn niet immuun voor geavanceerde side-channel aanvallen (zoals Spectre, Meltdown, LVI, CIPHERLEAKS). Dit is een restrisico dat gemitigeerd moet worden door het gebruik van de nieuwste generatie hardware en het toepassen van ‘constant-time’ programmeertechnieken.

10. Het SaaS conundrum, een risicogebaseerde uitzonderingsprocedure

Het gebruik van niet-soevereine SaaS-diensten (bv. Microsoft 365) is een realiteit, maar vormt een direct conflict met de soevereine doctrine. Dit vereist een strikt, formeel uitzonderings- en risico acceptatie proces, beheerd door de SGB.1

• Soeverein alternatief toets: Is er een functioneel equivalent soeverein alternatief beschikbaar? Zo ja, dan is het gebruik daarvan verplicht.

• Data classificatie: Verwerking van S-2 en S-3 data in een niet-soevereine SaaS is principieel verboden.

• Maximale mitigatie (voor S-1): Indien geen alternatief bestaat voor een S-1 workload, zijn de volgende maatregelen verplicht:

• Implementatie van HYOK/Double Key Encryption waar technisch mogelijk.

• Toepassing van de volledige set soevereine inkoopclausules.

• Een geteste en goedgekeurde exit-strategie, inclusief een SaaS Escrow overeenkomst die niet alleen de broncode, maar ook de live-data en configuratie omvat.70

• Formele risicoacceptatie: Het resterende juridische risico moet expliciet worden gedocumenteerd en formeel worden geaccepteerd door de SGB en de bestuurlijke top.

11. Architectuur 3: Veilige landingszones voor artificiële intelligentie

Dit is een verplichte governance- en technische laag boven op Architectuur 1 voor alle AI-workloads.

Tactisch Niveau: AI Governance Framework (conform AI Act):

• Model Inventarisatie: Alle gebruikte AI-modellen worden geregistreerd in een centraal register.

• Risicoclassificatie: Elk model wordt geclassificeerd volgens de risico-categorieën van de AI Act.

• Impact Assessment: Voor hoog-risico systemen wordt een gecombineerde DPIA/FRIA uitgevoerd.

Operationeel Niveau: Technische Control Set:

• Data Governance (AI Act Art. 10): Implementeer tools voor data lineage.

• Immutable Logging (AI Act Art. 12): Configureer onveranderbare logging van alle prompts, outputs en beslissingen.

• Secure Orchestration: AI-agenten interacteren met andere systemen via een beveiligde API-gateway gebaseerd op Zero Trust-principes.

Deel V: Menselijk kapitaal en economische analyse

12. De human capital doctrine, bouwen aan digitaal vakmanschap

Technologie en beleid zijn nutteloos zonder de mensen die het moeten uitvoeren. Een soevereine strategie vereist een parallelle strategie voor menselijk kapitaal.20

• Strategische Personeelsplanning (SPP): De Rijksoverheid moet een meerjarige, rijksbrede SPP voor digitalisering en soevereiniteit opstellen.20

• Opleidingsplan op Maat: De RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO) moet specifieke leertrajecten ontwikkelen voor cruciale rollen zoals Sovereign Cloud Engineer (OpenStack, OpenShift, Kubernetes).28

• Werving en Behoud: Er moet een actieve strategie komen om talent aan te trekken en te behouden.

13. TCO en VOI Analyse: De Kosten en Baten van Soevereiniteit

Een eenzijdige focus op Total Cost of Ownership (TCO) is misleidend. De discussie moet verschuiven naar Value on Investment (VOI).

Kosten (TCO):

• Private/Sovereign Cloud: Hogere initiële kapitaaluitgaven (CapEx) voor hardware en software. Hogere operationele kosten (OpEx) voor personeel, onderhoud en energie.

• Public Cloud: Lagere initiële CapEx. Potentieel onvoorspelbare OpEx door variabele kosten, met name hoge ‘egress costs’.

Baten (VOI)

• Risicoreductie: De kosten van een datalek of het niet kunnen leveren van een vitale dienst zijn potentieel catastrofaal.

• Compliance Zekerheid: Aantoonbare controle vermindert het risico op hoge boetes.

• Voorspelbaarheid: Lange-termijn kosten zijn beter voorspelbaar.

• Economische Stimulans: Investeringen vloeien terug in de Nederlandse/Europese economie.22

Deel VI: Risico en besluitvorming

14. Het restrisico memorandum

• “HYOK is geen absolute immuniteit”: Een zeer geavanceerde statelijke actor zou de provider kunnen dwingen versleutelde datablokken uit te leveren en vervolgens proberen de encryptie te breken.

• De Archiveringsuitdaging bij SaaS: Zonder robuuste escrow-clausules bestaat het risico op dataverlies bij faillissement van een SaaS-leverancier.

• Kwetsbaarheden in Confidential Computing: Hardware-gebaseerde ‘side-channel’ aanvallen zijn een theoretisch risico voor TEEs.

• Innovatie-achterstand: Een strikte “on-prem first” doctrine kan de toegang tot de nieuwste (AI-)technologieën vertragen.

• Onvoldoende Intern Vakmanschap: Het succes van de doctrine is volledig afhankelijk van de beschikbaarheid van voldoende gekwalificeerd personeel.

15. Besluiten voor het bestuur

• Goedkeuring Beleidskader: Keur de aangescherpte Sovereignty Placement Policy formeel goed als bindende doctrine.

• Mandatering Soevereine Architectuur: Mandateer de Sovereign Hybrid Model (Architectuur 1) voor alle S-1, S-2 en S-3 workloads.

• Acceptatie Restrisico: Accepteer formeel het jurisdictionele restrisico voor de beperkte, goedgekeurde uitzonderingen.

• Mandatering Contractuele Waarborgen: Mandateer de Sovereign Procurement Library clausules voor alle ICT-contracten.

• Toewijzing Middelen: Wijs de benodigde middelen toe voor de uitvoering van het actieplan.

Geciteerd werk

• Rijk ging zonder afwegingen de cloud in | Nieuwsbericht, Algemene Rekenkamer, geopend op september 4, 2025, https://www.rekenkamer.nl/actueel/nieuws/2025/01/15/rijk-ging-zonder-afwegingen-de-cloud-in

• Het Rijk in de cloud | Rapport | Algemene Rekenkamer, geopend op september 4, 2025, https://www.rekenkamer.nl/publicaties/rapporten/2025/01/15/het-rijk-in-de-cloud

• Secret Law Is Not the Solution to an Overbroad Surveillance Authority, geopend op september 4, 2025, https://www.brennancenter.org/our-work/analysis-opinion/secret-law-not-solution-overbroad-surveillance-authority

• Dutch central government in the cloud | Report, Netherlands Court of Audit, geopend op september 4, 2025, https://english.rekenkamer.nl/publications/reports/2025/01/15/dutch-central-government-in-the-cloud

• Rijksoverheid onderzoek cloud beleid belicht SaaS en Microsoft toepassingen, geopend op september 4, 2025, https://www.dutchitchannel.nl/news/511157/rijksoverheid-onderzoek-cloud-beleid-belicht-saas-en-microsoft-toepassingen

• Kamerbrief Clingendael rapport over Cloud | Kamerstuk | Rijksoverheid.nl, geopend op september 4, 2025, https://www.rijksoverheid.nl/documenten/kamerstukken/2024/04/23/kamerbrief-inzake-clingendael-rapport-over-cloud

• De Nederlandse Digitaliseringsstrategie (NDS), Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/document/de-nederlandse-digitaliseringsstrategie-nds/

• Staatssecretaris Van Huffelen stuurt Kamerbrief Rijksbreed Cloudbeleid, Centre of Excellence for Data Sharing & Cloud, CoE DSC, geopend op september 4, 2025, https://coe-dsc.nl/staatssecretaris-van-huffelen-stuurt-kamerbrief-rijksbreed-cloudbeleid/

• The Dutch Digitalisation Strategy 2021 (ENG), Nederland Digitaal, geopend op september 4, 2025, https://www.nederlanddigitaal.nl/documenten/2021/06/22/the-dutch-digitalisation-strategy-2021-eng

• Recommended cyber security contract clauses for cloud services (ITSM.50.104), geopend op september 4, 2025, https://www.cyber.gc.ca/en/guidance/recommended-cyber-security-contract-clauses-cloud-services-itsm50104

• Herindeling Deel 2 Kader BIO, geopend op september 4, 2025, https://bio-overheid.nl/media/uxqpr3mw/20221215-handreiking-indeling-bio-v104zv-aan-iso-iec-27002-2022-v11-def.xlsx

• EU must help governments to break with US cloud providers, says Netherlands, POLITICO Pro, geopend op september 4, 2025, https://subscriber.politicopro.com/article/2025/07/eu-must-help-governments-to-break-with-us-cloud-providers-says-netherlands-00448545

• The Netherlands accelerates with renewed Digitalization Strategy, Holland High Tech, geopend op september 4, 2025, https://hollandhightech.nl/en/news-calendar/news/the-netherlands-accelerates-with-renewed-digitalization-strategy

• Netherlands, Digital Economy, International Trade Administration, geopend op september 4, 2025, https://www.trade.gov/country-commercial-guides/netherlands-digital-economy

• On the Sovereignty of Dutch Government Data, geopend op september 4, 2025, https://privacy-web.nl//uploads/po_assets/1017643.pdf

• Too late to act? Europe’s quest for cloud sovereignty, Clingendael Institute, geopend op september 4, 2025, https://www.clingendael.org/sites/default/files/2024-02/Policy_brief_Cloud_sovereignty.pdf

• Rijksbrede cloudbeleid 2022, Tweede Kamer, geopend op september 4, 2025, https://www.tweedekamer.nl/downloads/document?id=2022D33299

• Nederlandse inbreng EU-cloudbeleid: ‘Definieer soevereine cloud’, iBestuur, geopend op september 4, 2025, https://ibestuur.nl/artikel/nederlandse-inbreng-eu-cloudbeleid-definieer-soevereine-cloud/

• Hoofdlijnen Wet open overheid, Rijksoverheid, geopend op september 4, 2025, https://www.rijksoverheid.nl/onderwerpen/wet-open-overheid-woo/hoofdlijnen-woo

• Strategic Brief no.70, 2024, Extension of the FISA Law European …, geopend op september 4, 2025, https://www.irsem.fr/en/strategic-brief-no-70-2024.html

• Clingendael Policy Brief, Tweede Kamer, geopend op september 4, 2025, https://www.tweedekamer.nl/downloads/document?id=2024D16630

• Baseline Azure AI Foundry Chat Reference Architecture in an Azure Landing Zone, Microsoft Learn, geopend op september 4, 2025, https://learn.microsoft.com/en-us/azure/architecture/ai-ml/architecture/baseline-azure-ai-foundry-landing-zone

• Nederland en de EU: Zet in op cloudsoevereiniteit, Clingendael Institute, geopend op september 4, 2025, https://www.clingendael.org/publication/nederland-en-de-eu-zet-op-cloudsoevereiniteit

• Secure AI Infrastructure Compliant with the AI Act | Cloud for AI, OChK, geopend op september 4, 2025, https://ochk.cloud/blog/secure-ai-infrastructure-compliant-with-ai-act-part2

• Nieuwe archiefwet aangenomen door Tweede Kamer | Nieuwsbericht, Open Overheid, geopend op september 4, 2025, https://www.open-overheid.nl/actueel/nieuws/2025/02/20/nieuwe-archiefwet-aangenomen-door-tweede-kamer

• Waarom moet Nederland haar eigen industrie meer inschakelen voor clouddiensten?, geopend op september 4, 2025, https://dutchcloudcommunity.nl/nieuws/waarom-moet-nederland-haar-eigen-industrie-meer-inschakelen-voor-clouddiensten/

• Economische impact, Dutch Data Center Association, geopend op september 4, 2025, https://www.dutchdatacenters.nl/economische-impact/

• Netherlands, EU NIS2 Directive, Eversheds Sutherland, geopend op september 4, 2025, https://ezine.eversheds-sutherland.com/eu-nis2-directive/netherlands

• Prioriteit 6, Digitaal vakmanschap en een moderne werkomgeving, Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/nederlandse-digitaliseringsstrategie-nds/6-prioriteiten-voor-een-overheid/prioriteit-6-digitaal-vakmanschap-en-een-moderne-werkomgeving/

• I-vakmanschap I-strategie Rijk 2021-2025, Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/i-strategie-rijk-2021-2025/i-vakmanschap/

• Strategische personeelsplanning | BOSA, FOD Beleid en Ondersteuning, geopend op september 4, 2025, http://bosa.belgium.be/nl/themas/strategische-ondersteuning/hr-beleid/strategische-personeelsplanning

• Strategische personeelsplanning (SPP) | Rijksorganisatie voor Ontwikkeling, Digitalisering en Innovatie, geopend op september 4, 2025, https://www.rijksorganisatieodi.nl/i-vakmanschap/spp

• RijksAcademie voor Digitalisering en Informatisering Overheid: Home, geopend op september 4, 2025, https://www.it-academieoverheid.nl/

• RADIO Leerplatform digitalisering is nu voor iedereen beschikbaar, Dutch IT Channel, geopend op september 4, 2025, https://www.dutchitchannel.nl/news/419648/radio-leerplatform-digitalisering-is-nu-voor-iedereen-beschikbaar

• RADIO, Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/leren-en-ontwikkelen/radio/

• EU AI Act Finalised, Matheson, geopend op september 4, 2025, https://www.matheson.com/insights/detail/eu-ai-act-finalised

• Implementation Timeline | EU Artificial Intelligence Act, geopend op september 4, 2025, https://artificialintelligenceact.eu/implementation-timeline/

• Article 9: Risk Management System | EU Artificial Intelligence Act, geopend op september 4, 2025, https://artificialintelligenceact.eu/article/9/

• Confidential Computing: A Security Overview and Future Research Directions, CEUR-WS, geopend op september 4, 2025, https://ceur-ws.org/Vol-3962/paper70.pdf

• Cloud Security Technical Reference Architecture v.2, CISA, geopend op september 4, 2025, https://www.cisa.gov/sites/default/files/2023-02/cloud_security_technical_reference_architecture_2.pdf

• Overheidsdatacenter | Producten en diensten | SSC-ICT | Partner …, geopend op september 4, 2025, https://www.ssc-ict.nl/producten-en-diensten/overheidsdatacenter

• EU Data Act | Updates, Compliance, Training, geopend op september 4, 2025, https://www.eu-data-act.com/

• Data Act explained | Shaping Europe’s digital future, European Union, geopend op september 4, 2025, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained

• EDPB adopts final version of Recommendations on supplementary measures, letter to EU Institutions on the privacy and data protection aspects of a possible digital euro, and designates three EDPB Members to the ETIAS Fundamental Rights Guidance Board, geopend op september 4, 2025, https://www.edpb.europa.eu/news/news/2021/edpb-adopts-final-version-recommendations-supplementary-measures-letter-eu_en

• EU Policy Update, June 2025, centr.org, geopend op september 4, 2025, https://www.centr.org/news/eu-updates/eu-policy-update-june-2025.html

• Sample Contract Clauses, Eckert Seamans, geopend op september 4, 2025, https://www.eckertseamans.com/app/uploads/Steve-Foxman_Eckert-Seamans_DATA-PROTECTION-CLAUSES-101016-M1566466xA35AF.pdf

• Handreiking Digitaal overbrengen in de praktijk, VNG, geopend op september 4, 2025, https://vng.nl/kennisbank-grip-op-informatie/handreiking-digitaal-overbrengen-in-de-praktijk

• Cloud contract templates for government buyers | Digital Transformation Agency, geopend op september 4, 2025, https://www.dta.gov.au/blogs/cloud-contract-templates-government-buyers

• BIO and MPIP together, Information security and compliance, geopend op september 4, 2025, https://alberthoitingh.com/2023/01/27/bio-and-mpip-together/

• Handreiking Dataclassificatietoets BIO gemeenten, Informatiebeveiligingsdienst, geopend op september 4, 2025, https://www.informatiebeveiligingsdienst.nl/product/handreiking-dataclassificatie-2/

• Gaia-X Architecture: Building the Backbone of Trusted Digital Ecosystems, geopend op september 4, 2025, https://gaia-x.eu//uploads/2024/10/Architecture-Document_Marketing-Summary_2024.pdf

• Wetsvoorstel voor ontheffing om archieven over te brengen, Nationaal Archief, geopend op september 4, 2025, https://www.nationaalarchief.nl/archiveren/nieuws/wetsvoorstel-voor-ontheffing-om-archieven-over-te-brengen

• Supplementary measures following Schrems II, AskCody Help Center, geopend op september 4, 2025, https://help.askcody.com/supplementary-measures-following-schrems-ii-2

• NIS 2 Directive, Transposition in the Netherlands, geopend op september 4, 2025, https://www.nis-2-directive.com/Transposition/Netherlands.html

• Baseline Informatiebeveiliging Overheid Cybersecurity, Digitale …, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/bio-en-ensia/baseline-informatiebeveiliging-overheid/

• EU Cyber Resilience Act (CRA), Open Source Security Foundation, geopend op september 4, 2025, https://openssf.org/public-policy/eu-cyber-resilience-act/page/2/

• NORA (Nederlandse Overheid Referentie Architectuur), Digitale …, geopend op september 4, 2025, https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nora/

• Latest Draft of the European Cybersecurity Certification Scheme for …, geopend op september 4, 2025, https://www.skadden.com/insights/publications/2023/11/latest-draft-of-the-european-cybersecurity-certification-scheme

• Baseline Informatiebeveiliging Overheid (BIO) v1.04, Informatiebeveiligingsdienst, geopend op september 4, 2025, https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/

• Een herziening van de ISO 27002, een herziening van de BIO, NORA Online, geopend op september 4, 2025, https://www.noraonline.nl/wiki/Een_herziening_van_de_ISO_27002,_een_herziening_van_de_BIO

• Framework of geospatial data standards for The Netherlands, Geonovum, geopend op september 4, 2025, https://www.geonovum.nl/documents/geonovum-framework-of-geospatial-data-standards-for-the-netherlands-v40en-defpdf

• EU Cyber Resilience Act, Open Source Security Foundation, geopend op september 4, 2025, https://openssf.org/public-policy/eu-cyber-resilience-act/

• Making Your Program Oblivious: a Comparative Study for Side-channel-safe Confidential Computing, arXiv, geopend op september 4, 2025, https://arxiv.org/pdf/2308.06442

• Iaas, Paas, Saas: What’s the difference?, IBM, geopend op september 4, 2025, https://www.ibm.com/think/topics/iaas-paas-saas

• Voorwaarden voor inkoop bij Rijksopdrachten | Zakendoen met het Rijk | Rijksoverheid.nl, geopend op september 4, 2025, https://www.rijksoverheid.nl/onderwerpen/zakendoen-met-het-rijk/voorwaarden-voor-rijksopdrachten

• European Data Governance Act | Shaping Europe’s digital future, geopend op september 4, 2025, https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

• Regulation, 2022/868, EN, EUR-Lex, European Union, geopend op september 4, 2025, https://eur-lex.europa.eu/eli/reg/2022/868/oj/eng

• Cloud Encryption: What Your Cloud Provider Covers   and What’s Still on You | Thales, geopend op september 4, 2025, https://cpl.thalesgroup.com/blog/encryption/cloud-encryption-key-management-byok-hyok

• Informatiebeveiligingsbeleid 2024-2027, Lokale wet- en regelgeving, Overheid.nl, geopend op september 4, 2025, https://lokaleregelgeving.overheid.nl/CVDR738417/1

• De Wet digitale overheid (Wbo) gaat in op 1 juli 2023. Wat houdt …, geopend op september 4, 2025, https://www.ser.nl/nl/actueel/Nieuws/wet-digitale-overheid

• New Standard Contractual Clauses, Questions and Answers overview, European Commission, geopend op september 4, 2025, https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en

• Gaia-X, Core Concepts Federation Service, geopend op september 4, 2025, https://www.plattform-i40.de/IP/Redaktion/DE/Downloads/Publikation/Datenraum_i40_Gaia-X_PPT.pdf?__blob=publicationFile&v=1

• Nieuwe Archiefwet aangenomen, Digitale Overheid, geopend op september 4, 2025, https://www.digitaleoverheid.nl/nieuws/nieuwe-archiefwet-aangenomen/

• Module Digitale overbrenging in de praktijk | Nationaal Archief, geopend op september 4, 2025, https://www.nationaalarchief.nl/archiveren/kennisbank/module-digitale-overbrenging-in-de-praktijk

• CounterSEVeillance: Performance-Counter Attacks on AMD SEV-SNP, Daniel Gruss, geopend op september 4, 2025, https://gruss.cc/files/counterseveillance.pdf

• Data Sovereignty vs. Data Residency: Why the Distinction Matters …, geopend op september 4, 2025, https://cybersecuritycompass.org/data-sovereignty-vs-data-residency-why-the-distinction-matters-more-than-ever-ed7c18cc5e9e

• About, Gaia-X: A Federated Secure Data Infrastructure, geopend op september 4, 2025, https://gaia-x.eu/about/

• www.digitaleoverheid.nl, geopend op september 4, 2025, https://www.digitaleoverheid.nl/nieuws/nieuwe-archiefwet-aangenomen/#:~:text=De%20overbrengingstermijn%20gaat%20met%20de,te%20zorgen%20voor%20goede%20archivering.

• Kamerstuk 35968, nr. 10 | Overheid.nl ＞ Officiële bekendmakingen, geopend op september 4, 2025, https://zoek.officielebekendmakingen.nl/kst-35968-10.html

• Veelgestelde vragen: overbrenging, KIA community, geopend op september 4, 2025, https://kiacommunity.nl/thoughts/11739

• eIDAS 2.0 | Updates, Compliance, Training, geopend op september 4, 2025, https://www.european-digital-identity-regulation.com/

• What is confidential computing? Definition + use cases, Decentriq, geopend op september 4, 2025, https://www.decentriq.com/article/what-is-confidential-computing

• EDPB issues comprehensive Schrems II guidance, including supplemental measures for data transfers, Hogan Lovells, geopend op september 4, 2025, https://www.hoganlovells.com/en/publications/edpb-issues-comprehensive-schrems-ii-guidance-including-recommended-supplemental-measures-to-protect-international-data-transfers

• Architectuur | PIANOo, Expertisecentrum Aanbesteden, geopend op september 4, 2025, https://www.pianoo.nl/nl/sectoren/ict/inkopen-van-ict/architectuur

• Generative AI operating models in enterprise organizations with Amazon Bedrock, AWS, geopend op september 4, 2025, https://aws.amazon.com/blogs/machine-learning/generative-ai-operating-models-in-enterprise-organizations-with-amazon-bedrock/

• Hiding in the Eye of the Storm Cloud: How CLOUD Act Agreements Expand U.S. Extraterritorial Investigatory Powers, Duke Law Scholarship Repository, geopend op september 4, 2025, https://scholarship.law.duke.edu/cgi/viewcontent.cgi?article=1583&context=djcil

• Regionaal Archief Nijmegen (Gemeente Nijmegen) | CoreTrustSeal, geopend op september 4, 2025, https://www.coretrustseal.org//uploads/2022/10/20221020-regionaal-archief-nijmegen-gemeente-nijmegen_final.pdf

• Verdient NL-SBB een plek op de Pas toe leg uit lijst?, Geonovum, geopend op september 4, 2025, https://www.geonovum.nl/nieuws/verdient-nl-sbb-een-plek-op-de-pas-toe-leg-uit-lijst

• Standaarden, Logius, geopend op september 4, 2025, https://www.logius.nl/onze-dienstverlening/standaarden

• Hold Your Own Key (HYOK): explained, IronCore Labs, geopend op september 4, 2025, https://ironcorelabs.com/hyok/

• 2022 Coordinated Enforcement Action Use of cloud-based services by the public sector, European Data Protection Board, geopend op september 4, 2025, https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf

• Rijksoverheid moderniseert applicaties met OpenShift-clusters bij ODC-Noord, Tweakers, geopend op september 4, 2025, https://tweakers.net/plan/3106/rijksoverheid-moderniseert-applicaties-met-openshift-clusters-bij-odc-noord.html

• Dutch central government in the cloud, Netherlands Court of Audit, geopend op september 4, 2025, https://english.rekenkamer.nl/binaries/rekenkamer-english/documenten/reports/2025/01/15/dutch-central-government-in-the-cloud/Dutch+central+government+in+the+cloud.pdf

• Back-up as a Service van ODC-Noord, Databalance, geopend op september 4, 2025, https://www.databalance.eu/cases/odc-noord/

• Overheidsdata veilig migreren, opslaan en beheren, Werken voor Nederland, geopend op september 4, 2025, https://www.werkenvoornederland.nl/organisaties/ministerie-van-binnenlandse-zaken-en-koninkrijksrelaties/ssc-ict/overheidsdata-veilig-migreren-opslaan-en-beheren

• Datacenter Groningen 1 & 2, geopend op september 4, 2025, https://www.northcdatacenters.com/northc-datacenters/groningen/

• Het Rijk in de cloud, Algemene Rekenkamer, geopend op september 4, 2025, https://www.rekenkamer.nl/binaries/rekenkamer/documenten/rapporten/2025/01/15/het-rijk-in-de-cloud/Het+Rijk+in+de+cloud.pdf

• Contactgegevens SSC-ICT, Register van Overheidsorganisaties, geopend op september 4, 2025, https://organisaties.overheid.nl/112476/SSC-ICT

• Overheidsdatacenter: 24/7 operationeel, Connect, geopend op september 4, 2025, https://www.ssc-ictspecials.nl/connect/2023/01/overheidsdatacenter

• CLASSIFICATION, Organization of American States, geopend op september 4, 2025, https://www.oas.org/en/sms/cicte/docs/ENG-Data-Classidication.pdf

• Informatiebeveiligingsbeleid BAR-organisatie, Lokale wet- en regelgeving, Overheid.nl, geopend op september 4, 2025, https://lokaleregelgeving.overheid.nl/CVDR683081/1

• Vragen die je als bestuurder kunt stellen aan de CISO, Nationaal Cyber Security Centrum, geopend op september 4, 2025, https://www.ncsc.nl/wat-kun-je-zelf-doen/weerbaarheid/besturen/vragen-voor-bestuurder-aan-ciso

• Timeline for dora implementation, EIOPA, European Union, geopend op september 4, 2025, https://www.eiopa.europa.eu/document/download/2888a8e8-4a20-4e27-ad51-7ad4e5b511f7_en?filename=5_2023-10-10_EIOPA%20Reporting%20event.pdf

• What is the NIST SP 800-207 cybersecurity framework?, CyberArk, geopend op september 4, 2025, https://www.cyberark.com/what-is/nist-sp-800-207-cybersecurity-framework/

• Dataclassificatie als uitgangspunt voor softwareontwikkeling, NORA Online, geopend op september 4, 2025, https://www.noraonline.nl/wiki/ISOR:Dataclassificatie%27_als_uitgangspunt_voor_softwareontwikkeling

• Dataclassificatie: norm halen of data beschermen?, Baker Tilly, geopend op september 4, 2025, https://www.bakertilly.nl/inzichten/blog/dataclassificatie-norm-halen-of-data-beschermen

• What Are the Principles of Confidential Computing?, Oblivious, geopend op september 4, 2025, https://www.oblivious.com/faq/what-are-the-principles-of-confidential-computing

• Interplay of the EU AI Act and GDPR | Osborne Clarke, geopend op september 4, 2025, https://www.osborneclarke.com/insights/interplay-eu-ai-act-and-gdpr

• nShield Cloud Integration Option Pack, Entrust, geopend op september 4, 2025, https://www.entrust.com/sites/default/files/documentation/datasheets/entrust-cloud-integration-option-pack-ds.pdf

• Detection of side-channel attacks targeting Intel SGX, DiVA portal, geopend op september 4, 2025, https://www.diva-portal.org/smash/get/diva2:1580002/FULLTEXT01.pdf

• SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments, NIST Computer Security Resource Center, geopend op september 4, 2025, https://csrc.nist.gov/pubs/sp/800/207/a/final

• EU Cybersecurity Certification, European Union, geopend op september 4, 2025, https://certification.enisa.europa.eu/certificates_en

• Szabó: Soevereine cloud voor héle Nederlandse overheid, Computable.nl, geopend op september 4, 2025, https://www.computable.nl/2025/06/03/szabo-soevereine-cloud-voor-hele-nederlandse-overheid/

• Understanding Cloud, IaaS PaaS SaaS, YouTube, geopend op september 4, 2025, https://www.youtube.com/watch?v=eCoapK4dzGo

• PaaS vs IaaS vs SaaS: What’s the difference?, Google Cloud, geopend op september 4, 2025, https://cloud.google.com/learn/paas-vs-iaas-vs-saas

• IaaS, PaaS, SaaS, CaaS, FaaS Explained in 7 minutes, YouTube, geopend op september 4, 2025, https://www.youtube.com/watch?v=M-5UlkNAl0

• SaaS vs PaaS vs IaaS, Types of Cloud Computing, AWS, geopend op september 4, 2025, https://aws.amazon.com/types-of-cloud-computing/

• What are the differences between IaaS, PaaS and SaaS?, OVH, geopend op september 4, 2025, https://www.ovhcloud.com/en/learn/iaas-paas-saas/

• External key stores, AWS Key Management Service, AWS Documentation, geopend op september 4, 2025, https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html

• BYOK, CYOK, HYOK: Cloud Key Management Explained, Cryptomathic, geopend op september 4, 2025, https://www.cryptomathic.com/blog/what-is-the-difference-between-byok-cyok-hyok

• HCP Terraform introduces Hold Your Own Key (HYOK), HashiCorp, geopend op september 4, 2025, https://www.hashicorp.com/blog/hcp-terraform-introduces-hold-your-own-key-hyok

• Cloud Key Management Service encryption | Security, geopend op september 4, 2025, https://cloud.google.com/docs/security/key-management-deep-dive

• NIST 800-207 compliance: A checklist, Island | The Enterprise Browser, geopend op september 4, 2025, https://www.island.io/content/compliance/nist-800-207

• CLOUD Act and FISA 702: Is your cloud data truly sovereign?, Civo …, geopend op september 4, 2025, https://www.civo.com/blog/is-your-cloud-truly-sovereign

• BMWE, FAQs on the GAIA-X project, bundeswirtschaftsministerium.de, geopend op september 4, 2025, https://www.bundeswirtschaftsministerium.de/Redaktion/EN/FAQ/Data-Infrastructure/faq-projekt-gaia-x.html

• Key Issue 6: Interplay with GDPR, EU AI Act, geopend op september 4, 2025, https://www.euaiact.com/key-issue/6

• White Paper: Best Practices for Cloud Data Protection and Key Management, geopend op september 4, 2025, https://www.thalestct.com/resources/best-practices-for-cloud-data-protection-and-key-management/

• Survey of research on confidential computing, ResearchGate, geopend op september 4, 2025, https://www.researchgate.net/publication/380034897_Survey_of_research_on_confidential_computing

• Hold your own key with Google Cloud External Key Manager, geopend op september 4, 2025, https://cloud.google.com/blog/products/identity-security/hold-your-own-key-with-google-cloud-external-key-manager

• Waarom Europa zijn eigen soevereine cloud moet bouwen, Consultancy.nl, geopend op september 4, 2025, https://www.consultancy.nl/nieuws/60875/experts-waarom-europa-zijn-eigen-soevereine-cloud-moet-bouwen

• Confidential Computing | CSA, Cloud Security Alliance, geopend op september 4, 2025, https://cloudsecurityalliance.org/research/topics/confidential-computing

• Government Information Security Baseline (BIO2) | Bureau Veritas Cybersecurity, geopend op september 4, 2025, https://cybersecurity.bureauveritas.com/services/process/audit-and-assurance/bio2-compliance

• Zero Trust Architecture, NIST Technical Series Publications, geopend op september 4, 2025, https://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf

• De Wet open overheid (Woo), Justitiële Informatiedienst, geopend op september 4, 2025, https://www.justid.nl/woo

• Data Sovereignty Vs Data Residency: What Every Organization Needs To Know, geopend op september 4, 2025, https://stonefly.com/blog/data-sovereignty-vs-data-residency-compliance-guide/

• ISO 27002:2022, Control 8.24, Use of Cryptography, ISMS.online, geopend op september 4, 2025, https://www.isms.online/iso-27002/control-8-24-use-of-cryptography/

• Hardware-Based Trusted Execution for …, Confidential Computing, geopend op september 4, 2025, https://confidentialcomputing.io//uploads/sites/10/2023/03/CCC_outreach_whitepaper_updated_November_2022.pdf

• Internet Impact Brief: Technical Architecture of the GAIA-X Project, geopend op september 4, 2025, https://www.internetsociety.org/resources/2021/internet-impact-brief-technical-architecture-of-the-gaia-x-project/

• Whitepaper NCSC, Cloudcomputing & security, geopend op september 4, 2025, https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2019/mei/01/cloudcomputing/Whitepaper_Cloudcomputing_archief.pdf

• Cybersecurity Certification Framework, ENISA, European Union, geopend op september 4, 2025, https://www.enisa.europa.eu/topics/product-security-and-certification/cybersecurity-certification-framework

• Bevordering Overbrenging Digitale Overheidsinformatie (BODO), Open Overheid, geopend op september 4, 2025, https://www.open-overheid.nl/onderwerpen/archiveren/bevordering-overbrenging-digitale-overheidsinformatie-bodo

• Hoe werkt een escrow-overeenkomst voor software?, Escrow4All, geopend op september 4, 2025, https://www.escrow4all.com/escrow-overeenkomst-2/

• Escrowovereenkomst voor programmatuur (SaaS), Softcrow, geopend op september 4, 2025, https://softcrow.com//uploads/2022/11/202210-SaaS-Escrow-3p-OnlineColl.pdf

• Attestation in confidential computing, Red Hat, geopend op september 4, 2025, https://www.redhat.com/en/blog/attestation-confidential-computing

• Azure landing zone design areas, Cloud Adoption Framework, Microsoft Learn, geopend op september 4, 2025, https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/landing-zone/design-areas

• Data Classification Practices, NCCoE, geopend op september 4, 2025, https://www.nccoe.nist.gov/data-classification

• Potential conflict and harmony between GDPR and the CLOUD Act, Reed Smith LLP, geopend op september 4, 2025, https://www.reedsmith.com/en/perspectives/2018/06/potential-conflict-and-harmony-between-gdpr-and-the-cloud-act

• The CLOUD Act and Transatlantic Trust, CSIS, geopend op september 4, 2025, https://www.csis.org/analysis/cloud-act-and-transatlantic-trust

• CipherTrust Data Security Platform, White Paper, Thales CPL, geopend op september 4, 2025, https://cpl.thalesgroup.com/resources/encryption/ciphertrust-data-security-platform-white-paper

• Cloud Engineer Rijksoverheid, Experis | Traineeshipsoverzicht, geopend op september 4, 2025, https://traineeshipsoverzicht.nl/experis/cloud-engineer-rijksoverheid

• FISA Section 702 and the 2024 Reforming Intelligence and Securing America Act, geopend op september 4, 2025, https://www.congress.gov/crs-product/R48592

• GDPR-Text.com: GDPR with official guidelines, case law & expert commentaries, geopend op september 4, 2025, https://gdpr-text.com/

• Waarom een digitale soevereine overheid op korte termijn onhaalbaar is, geopend op september 4, 2025, https://www.binnenlandsbestuur.nl/digitaal/waarom-snelle-digitale-soevereiniteit-onhaalbaar-is

Video: Digitale Soevereiniteid als Doctrine

Cloud IaaS PaaS SaaS

Video: IaaS PaaS SaaS Explained

IaaS PaaS SaaS Explained